Un incidente reciente vuelve a poner el foco en un riesgo que las empresas siguen subestimando: las integraciones de terceros como vectores de acceso masivo a datos sensibles. Según informes recopilados por medios especializados, múltiples organizaciones sufrieron robo de información tras el compromiso de un proveedor de integraciones SaaS; los atacantes consiguieron tokens de autenticación y los usaron para acceder a servicios en la nube, con un interés particular en plataformas de almacenamiento y análisis de datos en la nube.
La mayor parte de los intentos de exfiltración se centraron en Snowflake, la conocida plataforma de data warehouse en la nube, que confirmó haber detectado actividad anómala en unas cuentas vinculadas a una integración de terceros y bloqueó preventivamente los accesos potencialmente afectados. Snowflake ha sido enfático al aclarar que no hubo una falla en sus propios sistemas ni una vulneración de la infraestructura de la compañía; la intrusión, según las evidencias, se resolvió sobre accesos vinculados a credenciales obtenidas fuera de su perímetro. Puedes consultar la información pública de Snowflake en su sitio y en su página de estado: blog de Snowflake y página de estado.
Fuentes del ecosistema han apuntado a que el origen del incidente podría ser la compañía de detección de anomalías de datos Anodot, adquirida por Glassbox en noviembre de 2025, aunque ni Snowflake ni los integradores implicados han hecho públicos nombres oficiales en las primeras comunicaciones. Anodot se presenta como una solución que aplica machine learning para identificar cambios inusuales en métricas de negocio y operativas, y su rol como punto de integración con plataformas como Snowflake la sitúa en una posición crítica: acceso profundo a flujos de datos y, por tanto, un objetivo interesante para actores maliciosos. Más información sobre Anodot en su web y sobre Glassbox en Glassbox.
Los atacantes que reclamaron la autoría, identificados por los informes como el grupo conocido como ShinyHunters, afirmaron haber exfiltrado datos de decenas de empresas y estar intentando extorsionarlas para evitar la publicación de la información robada. ShinyHunters es un actor que ha protagonizado filtraciones y ventas de datos en el pasado; puedes leer antecedentes sobre este grupo en la documentación pública disponible, por ejemplo en su ficha en Wikipedia y en análisis periodísticos especializados.
Un detalle que llamó la atención fue la mención de intentos de acceso a datos de Salesforce usando los tokens sustraídos, que según los reportes fueron detectados y bloqueados antes de que los atacantes lograran extraer información. En el último año se ha venido observando una sucesión de campañas dirigidas a clientes de Salesforce y otras plataformas de CRM, lo que subraya la persistente presión sobre recursos con información comercialmente sensible. Salesforce mantiene información sobre su estado y prácticas de seguridad en su portal de estado.
Entre las compañías que se comunicaron sobre el incidente, Payoneer indicó que, tras revisar sus integraciones, no había evidencias de impacto en sus sistemas. La respuesta de las empresas frente a este tipo de alertas suele variar; algunas actúan de inmediato, otras tardan en confirmar alcance y otras evitan divulgar detalles por razones legales o de contención. Puedes consultar comunicados y seguimiento mediático en medios especializados como BleepingComputer, que ha cubierto esta y otras campañas similares.
También es relevante que grupos como el Google Threat Analysis Group hayan declarado estar al tanto y en seguimiento del incidente: la coordinación entre equipos de inteligencia de amenazas y proveedores es clave para contener estos eventos y mitigar su propagación. Los equipos de respuesta recomiendan, entre otras medidas, bloquear accesos comprometidos, rotar credenciales y revisar logs para identificar movimientos laterales que puedan haber pasado desapercibidos. La perspectiva institucional sobre ciberincidentes y mitigación se puede consultar en recursos oficiales como los materiales de la CISA y otros organismos de seguridad.
Más allá de quién estuvo detrás del acceso inicial, el episodio expone un problema estructural: las integraciones legítimas entre servicios —esas que facilitan el trabajo, automatizan procesos y son casi invisibles para muchos equipos— pueden convertirse en puertas traseras si no se gestionan con políticas estrictas. Los tokens y credenciales de integración deben tratarse como secretos de máxima sensibilidad: deben tener caducidad corta, permisos acotados al mínimo necesario y rotarse con frecuencia. Además, es imprescindible mantener un inventario claro de qué aplicaciones externas tienen acceso a qué datos y con qué privilegios, algo que muchos entornos de TI aún no hacen con la disciplina requerida.
Para las empresas afectadas o en riesgo, hay pasos prácticos que deben priorizarse: auditar y limitar las integraciones de terceros, implementar autenticación fuerte y segmentación de datos, habilitar alertas sobre patrones de acceso inusuales y preparar planes de respuesta ante filtraciones. La detección temprana fue precisamente la diferencia que evitó, según los informes, que los atacantes extrajeran datos de Salesforce en esta ocasión.
Si hay una lección que destacar, es que la superficie de ataque ya no es solamente el servidor o la aplicación propia, sino el complejo entramado de conexiones externas, APIs y tokens que conforman la arquitectura moderna. La seguridad hoy exige controles que aborden el ecosistema completo de integraciones, no solo los perímetros tradicionales.
Este episodio seguirá en desarrollo y conviene mantenerse atento a las actualizaciones de los proveedores implicados y de los equipos de respuesta a incidentes. Para un seguimiento más detallado y técnico, los espacios especializados como BleepingComputer y los comunicados oficiales de las compañías ofrecen información actualizada, mientras que los organismos de ciberseguridad pública y privada publican guías para reforzar defensas frente a extorsiones y robo de datos: BleepingComputer, Snowflake, Anodot, Glassbox y CISA - StopRansomware.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...